猫鼠游戏：三种被滥用的逃避技术

 简介

在对收集犯法分子进攻本领的说明进程中，我们会不绝碰着他们各式百般的技巧，用以绕过企业的安详防止机制，这些技巧有些是先辈的，有些看起来显得“过期”，纵然云云，在大多时辰，通过对这些技能的有用应用也能辅佐犯法分子进入受害者的电脑，渗出到公司的收集之中。

本篇文章旨在显现今朝被种种收集犯法分子滥用的一些技能细节，以辅佐企业、安详运营商和行业减轻它们的影响。

技能说明

我们将从最近说明的三个案例中，重点先容收集犯法分子和威胁组织今朝用来躲避检测的一些能力：前两个案例是与Office文档相干的技能，用于潜匿恶意payload并引诱用户打开后传染；第三个案例则涉及到二进制payload，通过滥用代码署名技能来躲避传统安详节制技能。

表1.样本信息

我们说明的第一个案例中，进攻者行使了一个“已破坏”的文档来诱行使户选择“恢复兴始文件”，并在体系没有提醒告诫的环境下下载恶意payload。在此例中，进攻者操作了裂痕CVE-2017-0199，它应承文档在打开时下载并执行恣意代码，从“hxxps:// www.protectiadatator [.biz/js/Oj1/smile.doc "处外部引用长途代码并执行，如下图所示。

图1.样本中的外部资源

凡是环境下，打开像这样的兵器化文档时，会弹出一个下图所示的窗口告诫用户存在指向外部文件的链接。

图2.弹出窗口告诫

看到这条告诫的用户在选择删除文件后就可以停止传染，但进攻者智慧地将文档中的某些字节删除了，使告诫窗口的内容变得纷歧样，同时没有影响到进攻举动。

图3.破坏的文件

用户打开文档后，MS Word表现的是“文档已破坏，请确认是否规复”，诱导用户选择规复。

图4.弹出窗口陈诉无法打开文档

单击“是”后，MS Word会自动规复文件内容并启动裂痕操作，这将下载并执行进攻者安插的payload。2.行使Office Developer Mode潜匿payload第二个能力则是将payload潜匿在MS Office developer控件工具中，该组件凡是对终端用户是不行见的。现实上，在大大都Office安装中，默认环境下都是禁用developer选项卡，因此辨认非常工具的存在会越发坚苦。

该恶意文件开启后如下图所示。

图5.经典收集垂纶文档

视图宏代码说明昭示，真实的payload藏在名为“Kplkaaaaaaaz”的工具中。

图6.嵌入在文档中的部门宏代码

用户启用宏之后，该潜匿工具表现为一个小文本框(图7)，现实为Base64编码的payload。

图7.文档的修改视图

图8.提取的payload

通过该计策，恶意软件作者将可识此外payload移动到一个更难以检测的地区，在静态说明时代被检出的概率较低。

3.伪造署名

另一种被收集罪犯滥用的技能是“证书诱骗”，该技能能让恶意软件等闲绕过部门反病毒引擎。进攻者通过某些渠道将有用证书潜入恶意软件之中，将恶意软件伪装成正当的，我们在之前的文章《TA505兵器之隐形电子邮件窃取器》中对此有过描写。尚有些时辰，纵然是无效的证书也足以实现进攻方针，譬喻最近的Ursnif进攻勾当。

图9. Ursnif样本上的诱骗署名

行使证书诱骗技能，进攻者可以行使来自任何网站的恣意证书签定恣意可执行文件。作为研究案例，我们操作赛门铁克网站证书签定了的已知Emotet二进制文件，如下所示。

表2.样本信息

表3.样本信息

图10.是否有假证书的样本之间的较量

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!